Har vi fått fire sikkerhetsegenskaper med personvernforordningen?
Alle vi som jobber med informasjonssikkerhet er godt kjent med sikkerhetsegenskapene K – I – T, Konfidensialitet, Integritet og Tilgjengelighet. Sikkerhetsansvarlige og personvernombud har heiet fram disse sikkerhetsegenskapene i årtier, og minnet om å ta hensyn til dem i interne og eksterne risikovurderinger.
Men har vi nå fått en fjerde sikkerhetsegenskap, Robusthet, med forordningen?
Artikkel 32 i personvernforordningen sier:
1. Idet det tas hensyn til den tekniske utviklingen, gjennomføringskostnadene og behandlingens art, omfang, formål og sammenhengen den utføres i […], skal den behandlingsansvarlige og databehandleren gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet med hensyn til risikoen, herunder blant annet […]
b) evne til å sikre vedvarende konfidensialitet, integritet, tilgjengelighet og robusthet i behandlingssystemene og -tjenestene
Hva er egentlig robusthet?
Personvernforordningen definerer ikke robusthet (resilience), men sier likevel noe om det i punkt 49 i fortalen: «[…] å stå imot utilsiktede hendelser eller ulovlige eller skadelige handlinger som svekker tilgjengeligheten, autentisiteten, integriteten og konfidensialiteten […]».
Den mest hensiktsmessige tolkningen av dette er muligens presentert av (National Institute of Standards and Technology, NIST) som sier at robusthet handler om informasjonssystemers evne til å:
- fortsette å operere under ugunstige forhold eller stress, selv under degradert eller svekket tilstand, samtidig som de opprettholder essensiell operasjonell drift; og
- gjenopprette normaltilstand på en effektiv måte, innen en tidsramme som er i samsvar med virksomhetens behov.
Robusthet innebærer at organisasjonen, informasjonssystemer og tjenester som behandler personopplysninger skal kunne tåle endringer og ytre påvirkninger. Samtidig skal personvernprinsippene og de registrertes rettigheter og friheter ivaretas. Dette gjelder under både normale og unormale omstendigheter. Det vil for eksempel si at informasjonssikkerheten i programvare og tjenester ikke svekkes eller må settes opp på nytt, men opprettholdes ved endringer (dette inkluderer oppdateringer) og ytre påvirkninger. Når organisasjonen sikrer at systemene har innebygd personvern og informasjonssikkerhet, bygges robusthet inn i systemene. Robusthet skal også sikre stabilitet over tid for informasjonssystemer som behandler personopplysninger.
Hvordan oppnå robusthet?
Tekniske og organisatoriske tiltak for å oppnå robusthet kan være:
- Regelmessige opplæringstiltak og bevisstgjøringskampanjer for å bygge personvern- og sikkerhetskultur i hele virksomheten
- Prosedyrer for effektiv avvikshåndtering, noe som omfatter å
- oppdage sikkerhetshendelser,
- analysere sikkerhetshendelser for å finne ut om det har oppstått brudd på personopplysningssikkerheten,
- gjenopprette normaltilstand,
- rapportere brudd på personopplysningssikkerheten til ledelsen, de registrerte, behandlingsansvarlig, Datatilsynet mm,
- implementere tiltak som lukker sårbarheten som medførte hendelsen,
- evaluere og lære av hendelsen (omfatter også opplæring av ansatte)
- Tilgangsstyring – ivareta konfidensialitet, integritet og tilgjengelighet
- Regelmessig evaluering av effektiviteten av eksisterende tiltak
- Kontinuerlig vurdere nye tekniske og organisatoriske tiltak med hensyn til «state of the art» og utviklingen i samfunnet
- Regelmessig sikkerhetstesting av systemer, løsninger, programmer og verktøy
- Etablere og vedlikeholde kontinuitetsplaner, inkludert rutiner for sikkerhetskopiering og gjenoppretting.
- Etablere og vedlikeholde beredskapsplaner
- Regelmessige øvelser for de ansatte på kriser og utfordringer i henhold til virksomhetens beredskapsplaner og kontinuitetsplaner
- Styringssystem for personvern og informasjonssikkerhet
Sikkerhetsegenskapene skal ivareta personvernprinsippene
Manglende robusthet kan føre til sikkerhetshendelser. Det er ikke selve mangelen på robusthet som vil være et brudd på informasjonssikkerhet, men resultatet av mangelen på robusthet.
Artikkel 4 punkt 12 i forordningen definerer brudd på personopplysningssikkerheten slik: «et brudd på sikkerheten som fører til utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av eller tilgang til personopplysninger som er overført, lagret eller på annen måte behandlet».
Alle de fire sikkerhetsegenskapene skal bidra til en effektiv ivaretagelse av personvernprinsippene, og dine og mine rettigheter og friheter. Den behandlingsansvarlige og databehandleren har plikt til å sørge for dette.
Fra at vi tradisjonelt sett har hatt de tre sikkerhetsegenskapene K – I – T, er vi med personvernforordningen beriket med fire? Skal vi forkorte dem R – I – K – T?
Koronaskolen: alt nytt på hjemmeskolefronten
Da samfunnet stengte ned i mars, ble vi alle kastet ut i ukjent territorium. Arbeidsplasser og restauranter skalket lukene. Å vandre gatelangs i Oslo på kveldstid minnet om å bevege seg i et dystopisk framtidsscenario. Den levende byen ble over natten nærmest...
les mer Pandemi og personvern
I en tid hvor pandemier dominerer folks bevissthet har personvern aldri vært mer aktuelt. Følg med på vår bloggserie om pandemi og personvern til høsten. Da de siste dagene av 2019 ebbet ut og vi entret et nytt tiår, kunne vi se tilbake på et år hvor personvern hadde...
les mer
Ny lov om etterretningstjenesten: Hva er egentlig vedtatt?
Torsdag 11. juni ble forslaget til ny lov om etterretningstjenesten (e-lov) vedtatt i Stortinget. Sjelden har et overvåkningstiltak vært gjenstand for så mye debatt og kritikk. Det er selvsagt en tid for alle, også for oss i Datatilsynet, å sette punktum. Men vi må...
les mer Personvern i en krisetid
Hvilke tiltak vi iverksetter i dag vil ikke bare påvirke hvordan pandemien utvikler seg, men også hvilket samfunn vi skal leve i når sykdommen har rast fra seg. Den viktigste oppgaven i verden nå er å håndtere koronapandemien. Det er så viktig at vi setter nesten alt...
les mer
Når reklamen ser deg
Du er kanskje vant til å se reklame overalt du beveger deg. Har du noen gang tenkt på at reklamen kanskje ser deg også? Noen reklameskilt har et innebygget kamera som analyserer ansiktene til forbipasserende. På denne måten kan reklamebudskapet tilpasses til...
les mer Barn fortjener bedre personvern i skolen
Når hver enkelt kommune må utforme sin egen digitale skolehverdag kan mye gå galt. Kanskje ligger løsningen på nasjonalt nivå. Denne bloggen står som kronikk i Aftenposten på den internasjonale personverndagen 28. januar. I dag markeres den internasjonale...
les mer Hvorfor kunstig intelligens krever økt fokus på personvern og etikk
Dette innlegget ble holdt på fremleggelsen av regjeringens strategi for kunstig intelligens den 15. januar 2020. Personvern er svært viktig når vi skal utvikle gode løsninger for kunstig intelligens. Innsatsfaktoren i mange av de løsningene som de neste årene vil bli...
les mer
Intellektuell gjeld – den skjulte kostnaden ved kunstig intelligens
Det er ikke bare den kunstige intelligensen som feiler som bør bekymre oss. Vi må også ha oppmerksomheten rettet mot den kunstige intelligensen som gir gode svar, men svar vi ikke kan forklare. (Artikkelen sto på trykk i Dagens Næringsliv den 10. januar 2020) I 1897...
les mer Samisk etnisitet for statistikk- eller forskningsformål
Dette innlegget ble holdt på Sametingets høring 20. november 2019 Først vil jeg si mange takk for invitasjonen. Jeg er veldig glad for å bli invitert hit for å diskutere denne viktige saken. Målet mitt er å gi et innspill til debatten om statistiske data om samer i...
les mer
Barns rett til personvern og foreldres eksponering
Høyesterett har nylig avsagt dom i en historisk sak, der en mor er straffedømt for å ha krenket sitt barns rett til privatliv. Dommen bidrar til å trekke en grense for foreldres deling av barns private øyeblikk på sosiale medier. Den belyser et stadig tilbakevendende...
les mer
Siste kommentarer